WannaCry: El Ransomware que Paralizó el NHS y 150 Países

El día que los hospitales se apagaron

12 de mayo de 2017. Un viernes aparentemente normal. A las 7:44 de la mañana (hora UTC), los primeros sistemas del NHS (National Health Service) del Reino Unido comenzaron a mostrar una pantalla roja con un mensaje inequívoco: "Oops, your files have been encrypted!" El rescate era de 300 dólares en Bitcoin, con un contador regresivo de tres días antes de que el precio se duplicara.

En cuestión de horas, 80 de las 236 organizaciones del NHS en Inglaterra quedaron afectadas. Las ambulancias fueron desviadas. Las cirugías programadas se cancelaron. Los historiales de pacientes se volvieron inaccesibles. Los médicos tuvieron que recurrir a papel y bolígrafo. Se estima que 19.000 citas médicas fueron canceladas, incluyendo operaciones de cáncer.

Pero el NHS fue solo el principio.

En España, Telefónica envió a sus empleados a casa tras detectar la infección en su red corporativa. FedEx suspendió operaciones. Renault detuvo fábricas en Francia. Deutsche Bahn vio sus pantallas de información secuestradas. El Ministerio del Interior ruso admitió que 1.000 de sus ordenadores estaban comprometidos. En China, universidades y gasolineras quedaron bloqueadas.

En 24 horas, WannaCry se convirtió en el primer ciberataque en dominar los telediarios de todo el mundo durante una semana completa.

Contexto histórico: las armas robadas de la NSA

The Shadow Brokers y el arsenal de Equation Group

Para entender WannaCry hay que retroceder un año. En agosto de 2016, un grupo que se hacía llamar The Shadow Brokers anunció que había robado herramientas de hacking de la NSA, específicamente del Equation Group, considerado la unidad de operaciones ofensivas más sofisticada de la agencia de inteligencia estadounidense.

Tras varios intentos fallidos de subastar las herramientas, el 14 de abril de 2017 (un mes antes de WannaCry), Shadow Brokers publicó gratuitamente el arsenal completo. Entre las herramientas estaba EternalBlue, un exploit para una vulnerabilidad crítica en el protocolo SMBv1 de Microsoft Windows (MS17-010).

La vulnerabilidad MS17-010

El protocolo Server Message Block (SMB) es fundamental en las redes Windows. Permite compartir archivos, impresoras y recursos entre equipos de una red. La vulnerabilidad MS17-010 afectaba a SMBv1 y permitía ejecutar código remoto sin autenticación en cualquier sistema Windows expuesto.

Microsoft, aparentemente alertada por la NSA de la filtración inminente, había publicado el parche el 14 de marzo de 2017. Pero un mes después de disponible el parche, millones de sistemas seguían sin actualizar. Hospitales corriendo Windows XP (sin soporte desde 2014), fábricas con sistemas legacy, universidades con redes abiertas, administraciones públicas con procesos de actualización lentos.

La ventana de vulnerabilidad era enorme.

Lazarus Group: Corea del Norte entra en escena

La atribución de WannaCry al Lazarus Group (también conocido como Hidden Cobra, ZINC o APT38) no fue inmediata, pero sí sólida. Lazarus es la unidad de operaciones cibernéticas del RGB (Reconnaissance General Bureau), el servicio de inteligencia militar de Corea del Norte.

El grupo ya tenía un historial notable. El hackeo de Sony Pictures en 2014, que destruyó la infraestructura de la compañía como represalia por la película "The Interview". El robo de 81 millones de dólares del banco central de Bangladesh en 2016, manipulando el sistema SWIFT. WannaCry fue su operación más visible, aunque probablemente no la más exitosa desde el punto de vista financiero.

La atribución se basó en múltiples indicadores: reutilización de código con herramientas anteriores de Lazarus, infraestructura de comando y control compartida, y patrones operativos consistentes. En diciembre de 2017, tanto el gobierno de EEUU como el de Reino Unido emitieron atribuciones formales a Corea del Norte.

Análisis técnico simplificado

Vector de infección: EternalBlue + DoublePulsar

WannaCry utilizaba dos herramientas robadas de la NSA en tándem:

1. EternalBlue escaneaba redes buscando sistemas con el puerto 445 (SMB) abierto y sin parchear. Cuando encontraba uno, explotaba la vulnerabilidad MS17-010 para obtener acceso al sistema.

2. DoublePulsar era un backdoor que se instalaba en la memoria del sistema comprometido, creando un punto de entrada persistente que WannaCry utilizaba para desplegar su payload de cifrado.

La combinación era devastadora porque no requería interacción del usuario. No hacía falta que nadie abriera un email, clickara un enlace o descargara un archivo. Bastaba con tener un sistema Windows sin parchear conectado a una red con acceso al puerto 445.

El proceso de cifrado

Una vez dentro del sistema, WannaCry seguía estos pasos:

1. Generaba un par de claves RSA de 2048 bits único para cada víctima
2. Buscaba archivos con 176 extensiones diferentes (.docx, .xlsx, .pdf, .jpg, .sql, .pst, entre otras)
3. Cifraba cada archivo con AES-128-CBC utilizando una clave única por archivo
4. Las claves AES se cifraban con la clave RSA pública de la víctima
5. La clave RSA privada se cifraba con la clave pública maestra de los atacantes

Este esquema significaba que, sin la clave privada maestra (en poder de los atacantes), era matemáticamente imposible recuperar los archivos.

Propagación tipo gusano

Lo que hizo a WannaCry particularmente destructivo fue su capacidad de autopropagación. A diferencia de la mayoría de ransomware que necesita que cada víctima sea engañada individualmente, WannaCry se comportaba como un gusano: una vez infectaba un sistema, escaneaba automáticamente la red local y redes externas buscando más víctimas.

El módulo de propagación escaneaba tanto IPs internas (la red local) como IPs externas aleatorias, multiplicando exponencialmente su alcance. Un solo sistema infectado en una red corporativa podía comprometer toda la organización en minutos.

El kill switch: un accidente que salvó al mundo

Marcus Hutchins, un investigador de seguridad de 22 años conocido online como MalwareTech, estaba analizando una muestra de WannaCry cuando descubrió algo curioso. El malware intentaba conectarse a un dominio específico extremadamente largo: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Si el dominio no existía (no resolvía), WannaCry continuaba con el cifrado. Pero si el dominio estaba activo, el malware se detenía.

Hutchins registró el dominio por 10,69 dólares. De golpe, todas las nuevas infecciones de WannaCry quedaban neutralizadas. Los sistemas ya cifrados no se recuperaron, pero la propagación global se detuvo.

La teoría más aceptada es que el kill switch era un mecanismo anti-sandbox. Los investigadores de malware suelen analizar muestras en entornos aislados (sandboxes) donde todas las conexiones de red son simuladas y devuelven respuestas positivas. Al incluir una comprobación a un dominio inexistente, los atacantes esperaban que el malware se detuviera en sandboxes (donde el dominio resolvería) pero se ejecutara en el mundo real (donde no resolvería). Hutchins invirtió la lógica sin querer.

El impacto: cifras que definen una pandemia digital

Impacto sanitario

El NHS fue la víctima más visible y más dolorosa. El informe posterior del NAO (National Audit Office) del Reino Unido reveló:

• 80 de 236 trusts del NHS afectados directamente
• 595 consultorios médicos de atención primaria comprometidos
• 19.000 citas canceladas, incluyendo 139 pacientes oncológicos con citas urgentes
• Ambulancias desviadas de hospitales afectados
• Historiales de pacientes inaccesibles durante días
• Coste estimado para el NHS: 92 millones de libras esterlinas

El informe también señaló que el NHS había sido advertido sobre su vulnerabilidad. CareCERT (el equipo de ciberseguridad del NHS) había enviado alertas sobre la importancia de parchear MS17-010. Pocos lo hicieron.

Impacto económico global

Las estimaciones del coste total de WannaCry varían según la fuente:

• Cyence (firma de modelado de riesgo ciber): 4.000 millones de USD
• Kaspersky Labs: 8.000 millones de USD (incluyendo costes indirectos)
• Europol: lo calificó como "el ataque de ransomware de mayor alcance de la historia"

Los sectores más afectados incluyeron:

• Sanidad: NHS (UK), hospitales en Indonesia, Brasil, China
• Telecomunicaciones: Telefónica (España), Telecom Portugal
• Transporte: Deutsche Bahn (Alemania), FedEx (EEUU), LATAM Airlines
• Manufactura: Renault y Nissan (parada de fábricas), Honda, Hitachi
• Gobierno: Ministerio del Interior ruso, policías en India, universidades en China
• Energía: PetroChina (miles de gasolineras)

Impacto mediático

WannaCry fue un punto de inflexión en la percepción pública de la ciberseguridad. Por primera vez, millones de personas que nunca habían oído hablar de ransomware vieron en directo cómo un ciberataque podía cancelar operaciones de cáncer, detener trenes y cerrar fábricas.

La cobertura mediática fue sin precedentes:

• Portada en todos los principales periódicos del mundo durante tres días consecutivos
• Sesiones de emergencia en parlamentos de múltiples países
• Microsoft publicó un comunicado inusualmente duro criticando a la NSA por acumular vulnerabilidades
• El término "ransomware" entró en el vocabulario popular

Lecciones aprendidas

1. El parcheo no es opcional

WannaCry explotó una vulnerabilidad para la que existía parche desde hacía dos meses. La lección fue brutal pero necesaria: la gestión de parches es la medida de seguridad más básica y más ignorada. Las organizaciones que aplicaron el parche MS17-010 no fueron afectadas.

2. El fin de vida de un sistema operativo importa

Muchos sistemas afectados corrían Windows XP, que había dejado de recibir soporte de seguridad en abril de 2014, tres años antes del ataque. Microsoft, excepcionalmente, publicó un parche para XP después del ataque, pero el daño ya estaba hecho.

3. Las armas cibernéticas se escapan

El debate sobre el "stockpiling" de vulnerabilidades por parte de agencias de inteligencia ganó fuerza. Si la NSA hubiera reportado la vulnerabilidad a Microsoft en lugar de armarla, millones de sistemas habrían estado protegidos. La analogía que se popularizó fue: "Imagina que al ejército le roban misiles Tomahawk. Eso es lo que acaba de pasar."

4. La segmentación de red salva vidas (literalmente)

Las organizaciones con redes segmentadas limitaron la propagación. Las que tenían redes planas, donde un sistema infectado tenía acceso a todos los demás, sufrieron daños masivos. El NHS, con su infraestructura fragmentada pero interconectada, fue un ejemplo perfecto de cómo no diseñar una red.

5. Los backups son la última línea de defensa

Las organizaciones con backups offline y probados pudieron recuperarse en días. Las que no tenían backups o los tenían conectados a la red (y por tanto cifrados también) enfrentaron pérdidas permanentes.

El legado regulatorio

WannaCry aceleró cambios regulatorios en todo el mundo:

• GDPR (UE): Aunque ya estaba en proceso, WannaCry reforzó los argumentos para la notificación obligatoria de brechas
• NIS Directive (UE): Impulsó la implementación de requisitos de seguridad para operadores de servicios esenciales
• NHS Digital Security Programme: El gobierno británico invirtió 150 millones de libras en mejorar la ciberseguridad del NHS
• EO 13800 (EEUU): La orden ejecutiva de Trump sobre ciberseguridad, firmada un día antes de WannaCry, ganó urgencia política

Estado actual (2026)

Los responsables

En septiembre de 2018, el Departamento de Justicia de EEUU imputó a Park Jin Hyok, un programador norcoreano identificado como miembro de Lazarus Group, por WannaCry, el hackeo de Sony Pictures y el robo del banco de Bangladesh. Park nunca ha sido detenido y se cree que opera desde Corea del Norte.

En febrero de 2021, tres norcoreanos adicionales fueron imputados por su papel en operaciones de Lazarus, incluyendo WannaCry. Ninguno ha sido arrestado.

EternalBlue en 2026

La vulnerabilidad que explotó WannaCry sigue siendo relevante. Aunque la mayoría de sistemas modernos están parcheados, EternalBlue continúa siendo una de las técnicas más detectadas en ataques a sistemas legacy, especialmente en países en desarrollo y en redes industriales con equipos que no pueden actualizarse fácilmente.

Según datos de múltiples fuentes de inteligencia, EternalBlue sigue apareciendo en las listas de exploits más utilizados año tras año.

Variantes de WannaCry

La versión original de WannaCry está neutralizada gracias al kill switch. Sin embargo, variantes modificadas que eliminan el mecanismo del kill switch siguen circulando. Estas variantes suelen ser menos sofisticadas que la original pero siguen aprovechando EternalBlue contra sistemas sin parchear.

Recursos y referencias

• NAO Report (2018): "Investigation: WannaCry cyber attack and the NHS" (National Audit Office, UK)
• Microsoft Security Response Center: "The need for urgent collective action to keep people safe online" (Brad Smith, 14 mayo 2017)
• US-CERT Alert TA17-132A: "Indicators Associated With WannaCry Ransomware"
• Kaspersky GReAT: "WannaCry ransomware used in widespread attacks all over the world" (análisis técnico)
• Symantec Security Response: "WannaCry: Ransomware attacks show strong links to Lazarus Group"
• DOJ Indictment (2018): "United States v. Park Jin Hyok" (caso 18-1479)
• MITRE ATT&CK: Software S0366 (WannaCry)
• NHS England Board Paper (2018): "Lessons learned review of the WannaCry Ransomware Cyber Attack"